【北京网站制作】Adobe再次曝出Flash重要漏洞 可窃取摄像头
  • 更新时间:2024-11-28 02:53:12
  • 网站建设
  • 发布时间:1年前
  • 299

Adobe再曝Flash重要漏洞 可偷控摄像头

10 月20 日上午,Adobe 正在修复一个与Flash 相关的漏洞,该漏洞可被用来秘密打开访问者的麦克风和摄像头。

“问题出在Adobe 服务器上的Flash Player 设置管理器中,”Adobe 发言人Wiebke Lips 说。 “工程师们正在加紧修复错误,”利普斯在一封电子邮件中说。 “请注意,这个bug不涉及也不需要产品更新,可以在服务器端在线修复,待QA工作完成后第一时间发布。”

该漏洞预计将在本周末修复。

该漏洞由斯坦福大学计算机科学专业的学生Aboukhadiieh 发现,并于昨天在博客文章中公布,其中包括一段视频剪辑。该攻击使用一种名为“clickjacking”的点击劫持方法,将Flash设置管理器SWF文件隐藏在页面的iFrame后面,从而可以绕过framebusting JS代码。 (北京网出品)

漏洞攻击出现于2008年附来自Znet的早期报道:

安全专家近日警告称,一个新发现的跨浏览器攻击漏洞将带来严重的安全问题,该漏洞影响所有主要桌面平台,包括,IE、Firefox、Safari、Opera 和Adobe Flash。这种被称为点击劫持的安全威胁本应在OWASP NYC AppSec 2008 会议上公布,但包括Adobe 在内的供应商要求在开发安全补丁之前不要披露该漏洞。

该漏洞由两位安全研究专家Robert Hansen 和Jeremiah Grossman 发现,他们提供了一些信息以显示安全威胁的严重性。Clickjacking到底是什么东西?

两位研究专家表示,他们发现的问题不小。事实上,这是严重的。但日期未定。我们目前只和有限的厂家讨论这个问题,所以问题很严重。

据参加OWASP 半公开演讲的人士表示,该漏洞很紧急,影响所有浏览器,与JavaScript 无关:

一般来说,当你访问一个恶意网站时,攻击者可以控制你的浏览器对某些链接的访问。这个漏洞影响几乎所有的浏览器,除非你使用像lynx这样的字符浏览器。该漏洞与JavaScript无关,即使关闭浏览器的JavaScript功能也无济于事。事实上,这是浏览器工作方式的缺陷,无法通过简单的补丁修复。恶意网站可以让您在您不知情的情况下点击网站上的任何链接、任何按钮或任何内容。

如果这没有吓到您,请考虑这样一种情况,用户在受到攻击时会毫无察觉且无助:

比如在Ebay,因为可以嵌入JavaScript,虽然攻击不需要JavaScript,但是可以让攻击变得更容易。只用lynx字符浏览器保护自己,不要什么动态的。该漏洞使用DHTML,使用反框架代码可以保护您免受跨站攻击,但攻击者仍然可以强制您点击任何链接。您所做的任何点击都会指向恶意链接,因此那些Flash 游戏将首当其冲。据汉森介绍,他们已经与微软和Mozilla 谈过这个问题,但他们都表示这是一个非常困难的问题,没有简单的解决方案。

标签: 北京网站制作高端网站建设

我们专注高端建站,小程序开发、软件系统定制开发、BUG修复、物联网开发、各类API接口对接开发等。十余年开发经验,每一个项目承诺做到满意为止,多一次对比,一定让您多一份收获!

本文章出于推来客官网,转载请表明原文地址:https://www.tlkjt.com/web/13843.html

在线客服

扫码联系客服

3985758

回到顶部